레이다를 피해 정당한 Windows 디버거 도구로 가장하는 PlugX 트로얀 탐지하기

늙은 개에게 새로운 기술을! 보안 연구원들은 밝혀냈다 PlugX 원격 액세스 트로이 목마 (RAT) 가 x65dbg라는 유명한 오픈 소스 Windows 디버거 도구로 위장하고 있다. 이 위장 기술을 위해 DLL 사이드 로딩을 활용하며, 악성 RAT는 보안 통제를 피하고 목표 인스턴스를 완전히 제어할 수 있다. 

PlugX 원격 액세스 트로이 목마 탐지

PlugX 트로이 목마는 10년 넘게 사이버 공격에 적극적으로 사용되어 왔으며, 주로 중국 해킹 집단들 사이에서 인기가 있었고, 사이버 위협 무대에 다시 등장한다. 걱정스러운 방어자들은 합법적인 앱을 위장하여 탐지를 피하려는 새로운 PlugX 변종에 대해 조직들을 경고하고 있다. SOC Prime의 Detection as Code 플랫폼은 보안 팀이 새로운 악성코드 샘플을 포함한 어떤 규모와 복잡성을 가진 현재 및 새로운 위협을 사전 탐지할 수 있도록 돕는다. 조직들이 자신들의 인프라에서 PlugX 트로이 목마 감염을 신속하게 식별할 수 있도록 SOC Prime 플랫폼은 최근 뛰어난 Threat Bounty 개발자인 Emre Ay:

가능한 PlugX 트로이 목마 활동 – 관련 명령어 탐지 (process_creation을 통해)

이 Sigma 규칙은 다음과 같은 일반적인 공격자 방법으로 실행된 악성코드와 관련된 PlugX 트로이 목마 활동을 탐지한다. rundll32로, 방어 회피를 가능하게 한다. 이 탐지는 20개 이상의 SIEM, EDR, XDR 플랫폼 전반에 적용될 수 있으며, MITRE ATT&CK 프레임워크 v12 에서 시스템 바이너리 프록시 실행(T1218)이라는 주요 기술과 함께 방어 회피 전술을 다룬다.

집단 지성에 기여하고자 하는 위협 헌터 및 탐지 엔지니어들은 Threat Bounty Program 개발자의 일원이 되기를 환영받는다. 또래 주도 사이버 방어 커뮤니티와 탐지 콘텐츠를 생성하고 공유함으로써, 포부를 가진 보안 애호가들은 Sigma와 MITRE ATT&CK 기술을 익히고, 자신들의 CV를 코딩하며, 탐지 엔지니어링 분야에서 자신을 발전시킬 수 있으며, 그들의 기여에 대한 금전적 혜택도 얻을 수 있다. 

클릭하세요 탐지 기능 탐색 버튼을 클릭하여 PlugX 악성코드 탐지에 대한 Sigma 규칙 전체 목록으로 즉시 드릴다운하세요. 모든 Sigma 규칙은 관련 사이버 위협 인텔리전스로 풍부하게 구성되어 조사를 간소화하고 공격 및 공격자 행동 패턴에 대한 포괄적인 컨텍스트를 제공합니다. 

탐지 기능 탐색

최신 PlugX 트로이 목마 캠페인 분석

PlugX (일명 Korplug, Hodur, RedDelta)는 2008년 경 악성 무대에 처음 등장하여 악성 행위를 위해 사용되었습니다. 초기에는 중국 지원 APT 집단에게만 사용되었지만, 이후 전 세계 여러 공격자들이 그들의 악성 작업을 위해 PlugX RAT를 채택했습니다. 

가장 최근의 공격에서, 해커들은 32비트 버전의 Windows 디버깅 도구 x64dbg.exe.  를 스푸핑했습니다. PlugX RAT는 신뢰받는 합법적 앱을 납치하여 페이로드를 드롭하는 DLL 사이드 로딩이라는 악성 기법을 활용했습니다. x64dbg 디버거는 다음과 같은 악성 x32bridge.dll 로 감염되어 PlugX를 x32bridge.dat.

로 로드합니다. 납치된 x64dbg 버전은 1월 2023년 Unit 42 전문가들에 의해 공개되었고, 탈착이 가능한 USB 드라이브를 통해 다른 Windows 머신에 감염시키는 새로운 PlugX 버전을 분석했습니다. 지속성은 이 경우 Windows 레지스트리 수정 및 예약된 작업 생성을 통해 기계 재시작 여부에 관계없이 지속적인 작동을 보장합니다. 추가적인 by Unit 42 experts in January 2023, while analyzing the new PlugX version relying on removable USB drives to infect other Windows machines on the targeted network. Persistence, in this case, is achieved via Windows Registry modifications and the creation of scheduled tasks ensuring continuous operation regardless of the machine restart. Further 분석 에 따르면 트렌드 마이크로는 x32bridge.exe 를 활용하여 백도어를 드롭하고 시스템 정보를 수집하는 UDP 셸 클라이언트를 발견했습니다. 

현대 보안 위협에는 만능해결책이 없습니다. 해킹 기술이 지속적으로 발전함에 따라, 사이버 방어자는 위협을 제때 식별하여 잠복 메커니즘을 설정하거나 데이터를 탈취하거나 페이로드를 주입하기 전에 신뢰할 수 있는 솔루션이 필요합니다. 다음을 신뢰하세요 https://socprime.com/ 10,000개 이상의 Sigma 규칙을 언제든 사용할 수 있어 위협 행위자보다 한 발 앞서 나갈 수 있습니다.